Podemos decir que ninguna amenaza avanzada persistente (APT) tiene tanta notoriedad como el gusano de arena, también conocida como la Unidad Militar 74455 en la inteligencia militar de Rusia (GRU). Su bobina resaltada incluye NotpetyaA Ataque en los Juegos Olímpicos de Invierno 2018y dos efectivos Asaltos a Ucrania Electricity Network. Las actividades más recientes incluyen un Campaña del sector energético de Dinamarca y un Intento fallido de bajar la red de Ucrania por tercera vezseguido de un intentar.
En un signo de tiempo, el gusano de arena ha evolucionado sutilmente hacia intrusiones más silenciosas y más extendidas. Microsoft, quien sigue al grupo como “Seashell Blizzard”, identificó un subgrupo en el 74455 centrado solo en el acceso inicial a organizaciones de alto valor en las principales industrias y regiones geográficas. Él llama a este subgrupo “Badpilot”.
Sandworm IAB, Badpilot
Desde al menos a finales de 2021, Badpilot ha llevado a cabo ataques oportunistas contra la infraestructura orientada a Internet, aprovechando las vulnerabilidades conocidas en las populares plataformas de correo electrónico y colaboración. Ejemplos notables incluyen Zimbra CVE-2022-41352EL Microsoft Exchange Bug CVE-2021-34473Y CVE-2023-23397 en Microsoft Outlook. Estas tres vulnerabilidades han recibido puntajes “críticos” 9.8 de 10 en el Sistema de Vulnerabilidad Común (CVSS).
Badpilot utiliza estas vulnerabilidades críticas para obtener acceso inicial útil para organizaciones de gran valor tradicionalmente: compañías de telecomunicaciones, compañías de petróleo y gas, compañías marítimas, fabricantes de armas y gobiernos extranjeros. Los objetivos han variado desde Ucrania y Europa más grande hasta Asia central y sur y Oriente Medio.
Desde el comienzo de 2024, Badpilot también se ha desarrollado para acceder a objetivos en los Estados Unidos y el Reino Unido. Para esto, hizo un uso particular de errores en el software de monitoreo y gestión remota: CVE-2023-48788Por ejemplo, una oportunidad para la inyección remota en el servidor de gestión empresarial de Fortinet Fortine (EMS) y el raro 10 CVS de 10 de 10 CVE-2024-1709Permitir la autenticación en ScreenConnect por Connectwise.
Después de poner un pie en un sistema específico, Badpilot sigue todas las etapas habituales de cualquier operación de piratería promedio. Rápidamente establece la persistencia utilizando su “Web” Web “Web” Localolive “personalizada, así como las copias de las herramientas legítimas de administración y monitoreo de control remotos (RMM), o” Shadowlink “, que configura los sistemas de compromiso como esos servicios ocultos. Recopila información de identificación, realiza un movimiento lateral, exfiltra los datos si es necesario y a veces realiza otras actividades post-comprometidas.
“No hay falta de sofisticación aquí, sino una concentración en la agilidad y la obtención de objetivos”, dijo Sherrod DeGrippo, director de estrategia de inteligencia sobre amenazas en Microsoft. “Estos TTP funcionan porque este actor de amenaza es persistente y continúa persiguiendo sus objetivos”.
Impacto en Ucrania
Al final, el trabajo de Badpilot consiste en lubricar ataques más grandes de su grupo matriz y, por extensión, para capacitar a su gobierno controlador. Aunque una gran parte de su actividad parece oportunista, Microsoft escribió: “Sus compromisos ofrecen opciones de tormenta de nieve acumulativas en Shell para cumplir con los objetivos estratégicos evolutivos de Rusia”.
Puede o no ser una coincidencia, por ejemplo, si el grupo nació solo meses antes de la invasión de Ucrania por Rusia. Al comienzo de esta guerra y que Rusia apuntó a su vecino con más ataques cibernéticos que nunca, Badpilot estaba en la mezcla, ayudando a acceder a las organizaciones percibidas como brindar apoyo político o militar a su oponente. Además, dice Microsoft, el grupo ha permitido al menos tres ataques destructivos en Ucrania desde 2023.
Sandworm ha apuntado a la infraestructura crítica en Ucrania desde el comienzo de la guerra, incluida la infraestructura de telecomunicaciones, las plantas de fabricación, el transporte y la logística, la energía, las organizaciones militares, militares y gubernamentales y otras infraestructuras destinadas a apoyar a la población civil. También se dirigió a las comunidades militares para fines de recopilación de información.
“Estos actores de amenaza son persistentes, creativos, organizados y confrontados”, dijo DeGrippo. Por esta razón, “los sectores críticos deben asegurarse de mantener prácticas de seguridad por encima del promedio, corregir su software, monitorear los activos orientados a Internet y mejorar su postura de seguridad general”.